Όλοι διαβάσαμε για το πρόσφατο συμβάν που αντιμετώπισαν τα ΕΛΤΑ. Κάποιοι από εμάς δυσφορήσαμε κιόλας από την διακοπή στην παροχή των σχετικών υπηρεσιών τους. Το χειρότερο όμως είναι ότι επικρατεί η άποψη ότι ο απειλητικός κίνδυνος των κυβερνο-επιθέσεων είναι κάπου ”εκεί έξω”. Στην πραγματικότητα είναι «μέσα».
Είναι η αντίληψη ότι ”δεν θα συμβεί σε εμάς”, ότι ”έχουμε πάρει όλα τα μέτρα μας”, ότι ”δεν είναι εποχές για περιττά έξοδα”. Βέβαια, προκειμένου για την ασφάλεια της επιχείρησης και την εξασφάλιση της απρόσκοπτης λειτουργίας της, κανένα μέτρο δεν εξασφαλίζει από μόνο του και διαχρονικά, κανένα έξοδο δεν είναι περιττό. Άλλωστε το πλέον σύγχρονο δόγμα στα θέματα της κυβερνο-ασφάλειας είναι: «μηδενική εμπιστοσύνη, τα πάντα ανά πάσαν στιγμή πρέπει να είναι υπό εξέταση». Μια αγορά που κατά το CNBC μέχρι το 2026 θα έχει συνολική αξία $52 δισ.
Απόλυτη Ασφάλεια vs Βέλτιστη Ασφάλεια - Το Επιθυμητό vs του Εφικτού
Στα θέματα των Κυβερνο-επιθέσεων δεν υπάρχει απόλυτη ασφάλεια. Έτσι η ψευδαίσθηση που χαρίζουν φράσεις που συχνά ακούμε, όπως «έχουμε τα καλύτερα στελέχη ΙΤ» ή «έχουμε εγκαταστήσει τα καλύτερα συστήματα προστασίας», μόνο σαν καταπραϋντική αντιλογία πρέπει να εκλαμβάνονται. Διότι τα καταξιωμένα στελέχη έχουν να αντιμετωπίσουν κύματα κακόβουλων επιθέσεων από στρατιές εγκληματιών του κυβερνοχώρου, και τα συστήματα ξεπερνιούνται την επομένη της κυκλοφορίας τους.
Με την τάση για ολική ψηφιοποίηση εργασιών και την αποκεντρωμένη εργασία στελεχών, ανοίγονται νέες κερκόπορτες. Παράλληλα με την επιδημία COVID-19, η επιδημία του κυβερνο-εγκλήματος βρίσκεται σε εξέλιξη με διαρκείς παραλλαγές και πλέον ευρηματικές και αυξημένου κινδύνου επιθέσεις. Για να μην αναφέρω και την ιδεολογική έξαρση που παρατηρείται στην συγκεκριμένη κατηγορία εγκλήματος - βλέπε και τον πόλεμο στην Ουκρανία.
Έτσι λοιπόν οι επιχειρήσεις πρέπει να αναζητούν τις βέλτιστες λύσεις που είναι όμως εφικτές. Η πρόληψη, η θωράκιση, η διαρκής εγρήγορση για την από κοινού αντιμετώπιση των ραγδαίων εξελίξεων και των διαρκώς νέων κινδύνων είναι ανάγκες επιτακτικές. Και ενόσω η ασφάλιση έναντι κινδύνων του κυβερνοχώρου από μόνη της δεν επαρκεί, παρόλα αυτά αποτελεί απαραίτητο συστατικό για κάθε βέλτιστη λύση, απαραίτητη ομπρέλα για να συμπληρώσει όλα τα άλλα λειτουργικά μέσα προστασίας και διαδικασίες της επιχείρησης. Για εμάς η ασφάλιση δεν είναι αυτοσκοπός αλλά το μέσον. Ο ρόλος μας επικεντρώνεται στην τακτική, ακόμη και σε μόνιμη βάση, αμφίδρομη επικοινωνία και συνεργασία με τα αρμόδια στελέχη της επιχείρησης, του οργανισμού, για την αποτελεσματική άμυνα έναντι του κινδύνου.
Οι πειρατές του κυβερνοχώρου ενδιαφέρονται για τους μεγάλους οργανισμούς
Η ανωτέρω φράση συνοψίζει μία από τις πλέον λανθασμένες αντιλήψεις για τον χώρο των επιχειρηματικών κυβερνο-επιθέσεων. Με την ραγδαία εξάπλωση του κυβερνο-εγκλήματος λόγω των μεγάλων και εύκολων -δυστυχώς- απολαβών, διευρύνεται και το πεδίο δράσης. Καθημερινά σε μόνιμη βάση υπάρχουν ειδήσεις για μεγάλες παγκόσμιες ή και πολυεθνικές επιχειρήσεις που χτυπήθηκαν, αλλά υπάρχουν και πολλαπλάσιες περιπτώσεις μεσαίων ή ακόμα και μικρών επιχειρήσεων που δεν παίρνουν σχεδόν ποτέ δημοσιότητα. Θύματα δεν είναι μόνον της τάξεως του λιμένα του Ρότερνταμ ή του πετρελαιαγωγού Colonial Pipeline, αλλά και η Vivartia και τα ΕΛΤΑ όπως δημοσιεύθηκε τελευταία.
Η Ελλάδα όμως δεν ανησυχεί...
Στο “EY Global Information Security Survey 2021 – Cybersecurity: How do you rise above the waves of a perfect storm?” το 81% των ερωτηθέντων διευθυντικών στελεχών δήλωσαν ότι αντιμετωπίζουν νέα κύματα επιθέσεων από την χαλάρωση μέτρων λόγω του COVID-19.
Στο “Deloitte Global 2021: Future of Cyber Survey” το 72% των ερωτηθέντων δήλωσαν ότι δέχθηκαν έως και 10 περιστατικά κυβερνο-επίθεσης, συμπεριλαμβανομένων και παραβιάσεων δεδομένων, μόνο κατά τον περασμένο χρόνο.
Στο πλέον πρόσφατο “Allianz Risk Barometer 2022”, η απολύτως σημαντικότερη πηγή επιχειρηματικών κινδύνων του επομένου 12μήνου και πέραν, βάσει εκτιμήσεων 2,650 έμπειρων διαχειριστών κινδύνων σε 89 χώρες, είναι οι κίνδυνοι του κυβερνο-χώρου. Με την διακοπή της εφοδιαστικής αλυσίδας, τις φυσικές καταστροφές και την πανδημία να ακολουθούν.
Είναι εντυπωσιακό ότι όλες οι διεθνείς έρευνες δείχνουν μια κατακόρυφη αύξηση της ανησυχίας μεταξύ των διοικητικών στελεχών των επιχειρήσεων για τις επιπτώσεις των κυβερνο-επιθέσεων. Τόσο μεγάλη ανησυχία, ώστε πλέον να αξιολογούνται καθολικά σαν ο σημαντικότερος από τους κινδύνους που αντιμετωπίζουν.
Παρόλα αυτά στην Ελλάδα οι επιχειρήσεις προτάσσουν τις φυσικές καταστροφές και την πανδημία σαν τους σημαντικότερους κινδύνους. Αναρωτιέμαι, μήπως αυτό σημαίνει ότι δεν καταλαβαίνουμε πολύ καλά τον συγκεκριμένο κίνδυνο;